Common Criteria (ISO/IEC 15408) : securite IT
Guide · Common Criteria
Common Criteria for Information Technology Security Evaluation, normalises depuis 1999 sous la reference ISO/IEC 15408 et dans sa methodologie associee ISO/IEC 18045 (Common Evaluation Methodology, CEM), constituent le cadre international d'evaluation de la securite des produits IT. Ne de la convergence du Trusted Computer System Evaluation Criteria nord-americain, de l'Information Technology Security Evaluation Criteria europeen et du Canadian Trusted Computer Product Evaluation Criteria au cours des annees 1990, le standard organise une grammaire commune d'exigences (Security Functional Requirements et Security Assurance Requirements), une echelle d'assurance graduee de EAL 1 a EAL 7, et un mecanisme international de reconnaissance mutuelle des certificats. Ce guide expose la structure de la norme, le cycle d'evaluation, les niveaux d'assurance, la mecanique de la reconnaissance CCRA et SOG-IS MRA, les schemas nationaux, le positionnement du futur schema europeen EUCC et l'articulation avec les autres cadres (CRA, RED 3.3, EN 303 645).
Origines et statut normatif
Section intitulée « Origines et statut normatif »Le besoin d'un cadre formel d'evaluation de la securite IT remonte aux annees 1980 avec la publication par le departement de la Defense americain du Trusted Computer System Evaluation Criteria (TCSEC, dit Orange Book, 1985), oriente vers les systemes d'exploitation et les classes de confiance C1 a A1. L'Europe occidentale a developpe en parallele son propre cadre, l'Information Technology Security Evaluation Criteria (ITSEC, 1991), porte par la France, l'Allemagne, le Royaume-Uni et les Pays-Bas, et le Canada a publie le Canadian Trusted Computer Product Evaluation Criteria (CTCPEC, 1993).
La fragmentation a rapidement montre ses limites : un produit certifie sous TCSEC ne pouvait pas reutiliser son evaluation sous ITSEC ou CTCPEC. A partir de 1993, un groupe de travail conjoint a fusionne les trois corpus dans un cadre unique, publie en 1996 sous le nom Common Criteria version 1.0. La version 2.0 a paru en 1998, suivie de la normalisation ISO/IEC 15408 en 1999. Le cadre a connu trois versions majeures (2.x, 3.x, 4.x) avant la revision 2022 qui restructure la norme en cinq parties et harmonise la terminologie.
L'edition courante, ISO/IEC 15408:2022, comporte :
- Partie 1, Introduction and general model : concepts fondamentaux, cycle d'evaluation, structure des Protection Profiles et Security Targets.
- Partie 2, Security functional components : catalogue des Security Functional Requirements (SFR), regroupes en classes (FAU audit, FCO communication, FCS cryptographic support, FDP user data protection, FIA identification and authentication, FMT security management, FPR privacy, FPT protection of the TSF, FRU resource utilisation, FTA TOE access, FTP trusted path/channels).
- Partie 3, Security assurance components : catalogue des Security Assurance Requirements (SAR), regroupes en classes (ADV development, AGD guidance documents, ALC life-cycle support, ASE security target evaluation, ATE tests, AVA vulnerability assessment, ACO composition).
- Partie 4, Framework for the specification of evaluation methods and activities : meta-cadre pour les schemas.
- Partie 5, Pre-defined packages of security requirements : packages predefinis, dont les Evaluation Assurance Levels.
La Common Evaluation Methodology (CEM), normalisee sous ISO/IEC 18045:2022, decrit comment un evaluateur applique concretement la partie 3 sur un produit donne. C'est le document de reference des laboratoires accredites.
Objets de l'evaluation : TOE, TSF, ST, PP
Section intitulée « Objets de l'evaluation : TOE, TSF, ST, PP »Common Criteria definit un vocabulaire precis qu'il convient de fixer avant d'aborder la mecanique d'evaluation.
Target of Evaluation (TOE)
Section intitulée « Target of Evaluation (TOE) »Le TOE est l'objet evalue. Il peut s'agir d'un composant materiel (carte a puce, micro-controleur securise, module HSM, processeur cryptographique), d'un logiciel (systeme d'exploitation, hyperviseur, base de donnees), d'un firmware, ou d'une combinaison. Le perimetre exact du TOE est decisif : il fixe ce qui est evalue et ce qui ne l'est pas. Un sur-perimetre alourdit le projet sans benefice ; un sous-perimetre laisse des surfaces d'attaque hors evaluation et fragilise la valeur du certificat.
TOE Security Functionality (TSF)
Section intitulée « TOE Security Functionality (TSF) »La TSF designe l'ensemble des fonctions de securite implementees dans le TOE, c'est-a-dire les contre-mesures techniques qui realisent les exigences fonctionnelles de securite. La TSF est l'objet direct des tests, de l'analyse de conception et de l'analyse de vulnerabilites.
Security Target (ST)
Section intitulée « Security Target (ST) »La Security Target est le document principal de la procedure. Elle decrit :
- Le TOE et son environnement operationnel.
- Les menaces, les politiques de securite organisationnelles et les hypotheses sur l'environnement.
- Les objectifs de securite (du TOE et de son environnement).
- Les Security Functional Requirements selectionnes (avec raffinements et iterations le cas echeant).
- Les Security Assurance Requirements, generalement reduits a un package EAL avec eventuelles augmentations.
- La specification synthetique du TOE et la justification (rationale) reliant menaces, objectifs et exigences.
La ST peut declarer la conformite a un ou plusieurs PP : on parle alors de strict conformance ou de demonstrable conformance selon le niveau d'alignement requis. La qualite de la ST conditionne directement la duree et le cout de l'evaluation.
Protection Profile (PP)
Section intitulée « Protection Profile (PP) »Le Protection Profile est une specification generique des exigences de securite pour une classe de produits, redigee independamment d'une implementation. Un PP definit les menaces, les objectifs et les SFR/SAR attendus, sans designer un produit particulier. Plusieurs ST peuvent declarer conformite au meme PP, ce qui facilite la comparaison entre produits et reduit la duplication d'effort.
collaborative Protection Profile (cPP)
Section intitulée « collaborative Protection Profile (cPP) »Le cPP est une variante du PP elaboree en commun par plusieurs schemas nationaux au sein d'une Technical Community internationale (par exemple iTC Network Devices, iTC Smartcards). Le cPP encadre les evaluations pour une categorie technique et conditionne, depuis la reforme CCRA de 2014, la reconnaissance mutuelle au-dela de EAL 2 + ALC_FLR. Pour un fabricant, l'existence d'un cPP applicable a son produit est un signal positif fort : elle reduit l'incertitude redactionnelle de la ST et garantit l'acceptation internationale du certificat.
Schema des relations
Section intitulée « Schema des relations »| Niveau | Document | Specifique a un produit ? | Role |
|---|---|---|---|
| Cadre normatif | ISO/IEC 15408 (parties 1 a 5) + ISO/IEC 18045 (CEM) | Non | Definit la grammaire et la methodologie |
| Categorie de produit | Protection Profile (PP) ou collaborative PP (cPP) | Non | Specifie les exigences pour une classe |
| Produit | Security Target (ST) | Oui | Decrit le TOE et ses fonctions de securite |
| Implementation | Target of Evaluation (TOE) | Oui | Le produit physique ou logiciel evalue |
| Fonctions evaluees | TOE Security Functionality (TSF) | Oui | Sous-ensemble du TOE realisant les SFR |
Echelle d'assurance : EAL 1 a EAL 7
Section intitulée « Echelle d'assurance : EAL 1 a EAL 7 »Les Evaluation Assurance Levels sont des packages predefinis de Security Assurance Requirements. Ils ne mesurent pas la securite intrinseque d'un produit mais la confiance que l'on peut accorder a son evaluation, en fonction de la profondeur et de la rigueur des analyses menees.
| EAL | Intitule | Description synthetique | Cas d'usage typiques |
|---|---|---|---|
| EAL 1 | Functionally tested | Analyse fonctionnelle, tests independants limites | Produits commerciaux ou la simple existence d'une evaluation suffit |
| EAL 2 | Structurally tested | Tests independants, analyse de conception haut niveau, revue de vulnerabilites | Produits IT generaux avec exigences moderees, plafond CCRA en l'absence de cPP |
| EAL 3 | Methodically tested and checked | Documentation de conception, analyse des canaux caches, controles environnement de developpement | Produits commerciaux avec exigences plus serieuses |
| EAL 4 | Methodically designed, tested, and reviewed | Conception detaillee, sous-ensemble du code source analyse, controles ALC etendus | Plafond le plus eleve atteignable economiquement par un produit commercial generique, frequent pour les OS, bases de donnees, firewalls |
| EAL 5 | Semiformally designed and tested | Conception semi-formelle, analyse de vulnerabilites approfondie, modelisation TSF formelle partielle | Cartes a puce, micro-controleurs securises, certains OS specialises |
| EAL 6 | Semiformally verified design and tested | Verification semi-formelle, tests structurels exhaustifs sur la TSF | Composants de securite critiques (cartes a puce haute assurance, HSM) |
| EAL 7 | Formally verified design and tested | Modelisation formelle complete de la TSF, verification mathematique | TOE de tres petite taille a tres forte criticite (modules cryptographiques, parties d'un noyau securise) |
Augmentations et EAL+
Section intitulée « Augmentations et EAL+ »Un niveau EAL peut etre augmente par des SAR additionnels au-dela du package standard. L'augmentation la plus frequente est ALC_FLR (Flaw Remediation), qui ajoute une exigence formelle de gestion des correctifs. Les denominations habituelles en pratique :
- EAL 4+ : EAL 4 augmente d'au moins un composant superieur, le plus souvent ALC_FLR.2 ou ALC_FLR.3, parfois AVA_VAN.5 (analyse de vulnerabilites haut potentiel).
- EAL 5+ : EAL 5 avec AVA_VAN.5 systematique pour les cartes a puce et HSM.
La grande majorite des certificats commerciaux delivres dans le monde se situent dans la plage EAL 2 a EAL 5+. EAL 6 et EAL 7 restent l'apanage des composants ou des sous-ensembles tres specifiques, du fait du cout de la verification formelle.
Cycle d'evaluation
Section intitulée « Cycle d'evaluation »L'evaluation Common Criteria mobilise quatre acteurs : le sponsor (generalement le fabricant), le developpeur, le laboratoire d'evaluation (ITSEF en terminologie europeenne, CCTL en terminologie americaine) et la Certification Body du schema national. Le flux type est le suivant.
- Cadrage et selection du schema. Le sponsor choisit le schema national de certification (ANSSI en France, BSI en Allemagne, NIAP aux Etats-Unis, etc.) en fonction du marche cible, du laboratoire pressenti et du cPP applicable.
- Selection du laboratoire. L'ITSEF/CCTL doit etre accredite pour le schema vise et pour la categorie technique du TOE. Un contrat tripartite est signe entre sponsor, laboratoire et schema.
- Redaction de la Security Target. Etape critique. La ST est revue par le schema avant le demarrage des activites d'evaluation (etape ASE).
- Activites d'evaluation. Le laboratoire applique la CEM aux SAR retenus : ADV (conception), AGD (documentation utilisateur), ALC (cycle de vie), ATE (tests fonctionnels), AVA (analyse de vulnerabilites), eventuellement ACO (composition).
- Rapports techniques. Le laboratoire produit des Evaluation Technical Reports intermediaires, revus par la Certification Body.
- Decision de certification. La Certification Body emet le certificat (Certification Report public et Security Target publique) et publie le produit sur le portail du schema.
- Maintenance et reevaluation. Le certificat peut etre maintenu par des assurance continuity (changes minor/major), ou suivi d'une reevaluation pour une nouvelle version du produit.
La duree d'une evaluation depend du niveau d'assurance, de la complexite du TOE et de la maturite documentaire du sponsor. Une evaluation EAL 4+ sur un produit deja en exploitation prend typiquement plusieurs trimestres ; une evaluation EAL 5+ sur une carte a puce mobilise plusieurs annees-homme cote laboratoire.
Reconnaissance internationale : CCRA et SOG-IS MRA
Section intitulée « Reconnaissance internationale : CCRA et SOG-IS MRA »Common Criteria n'aurait qu'une portee limitee sans dispositif de reconnaissance mutuelle. Deux instruments coexistent.
Common Criteria Recognition Arrangement (CCRA)
Section intitulée « Common Criteria Recognition Arrangement (CCRA) »Le CCRA est un accord international signe entre etats participants (Common Criteria Recognition Arrangement). Il distingue deux statuts : Certificate Authorizing Members (etats qui delivrent des certificats reconnus) et Certificate Consuming Members (etats qui reconnaissent les certificats sans en delivrer). Le portail Common Criteria publie la liste a jour des membres.
La reforme du CCRA de 2014 a profondement modifie le mecanisme : la reconnaissance generale ne s'applique plus qu'aux certificats jusqu'au niveau EAL 2 augmente de ALC_FLR ; au-dela, la reconnaissance n'est garantie que pour les evaluations realisees dans le cadre d'un cPP valide pour la categorie de produit. En l'absence de cPP applicable, un certificat EAL 4+ reste valable sur le territoire emetteur mais n'engage pas automatiquement les autres signataires.
SOG-IS MRA
Section intitulée « SOG-IS MRA »Le Senior Officials Group Information Systems Security Mutual Recognition Agreement est un arrangement europeen plus restreint mais plus permissif sur les niveaux. Ses membres (essentiellement des etats de l'Union et de l'AELE) se reconnaissent mutuellement les certificats jusqu'a EAL 7 pour les domaines techniques que SOG-IS couvre formellement, et jusqu'a EAL 4 pour les autres domaines.
Les domaines techniques SOG-IS sont au nombre de deux historiquement :
- Smart Cards and Similar Devices (cartes a puce et dispositifs similaires : eUICC, secure elements, jetons securises).
- Hardware Devices with Security Boxes (dispositifs materiels a boitier de securite, dont certains HSM et tachygraphes numeriques).
Le SOG-IS MRA a longtemps fait office de regime de reconnaissance haut niveau en Europe. Son perimetre est aujourd'hui en cours d'absorption progressive par l'EUCC (voir section dediee).
Tableau comparatif CCRA et SOG-IS MRA
Section intitulée « Tableau comparatif CCRA et SOG-IS MRA »| Caracteristique | CCRA | SOG-IS MRA |
|---|---|---|
| Portee geographique | Internationale | Europeenne (UE et AELE) |
| Plafond de reconnaissance generale | EAL 2 + ALC_FLR | EAL 4 hors domaine technique, EAL 7 dans les domaines techniques |
| Condition au-dela du plafond | Evaluation conforme a un cPP | Appartenance au domaine technique reconnu |
| Domaines techniques formellement reconnus | Listes des Technical Communities, evolutives | Smart Cards and Similar Devices, Hardware Devices with Security Boxes |
| Avenir | Stable, evolutions cPP par iTC | Progressivement absorbe par EUCC dans le perimetre UE |
Schemas nationaux
Section intitulée « Schemas nationaux »Common Criteria est decline dans chaque pays signataire en un schema national de certification. Le schema designe la Certification Body, accredite les laboratoires, publie les guides procedure et emet les certificats. Les schemas les plus actifs au plan mondial :
| Etat ou region | Schema | Autorite | Statut CCRA |
|---|---|---|---|
| France | Certification Criteres Communs | ANSSI | Certificate Authorizing Member |
| Allemagne | German CC Scheme | BSI (Bundesamt fur Sicherheit in der Informationstechnik) | Certificate Authorizing Member |
| Pays-Bas | NSCIB | TUV Rheinland Nederland (sous tutelle NCTV) | Certificate Authorizing Member |
| Espagne | Organismo de Certificacion | Centro Criptologico Nacional (CCN) | Certificate Authorizing Member |
| Italie | OCSI | Organismo di Certificazione della Sicurezza Informatica | Certificate Authorizing Member |
| Etats-Unis | NIAP CCEVS | National Information Assurance Partnership / NSA | Certificate Authorizing Member |
| Canada | Canadian CCS | Communications Security Establishment (CSE) | Certificate Authorizing Member |
| Japon | JISEC | IPA (Information-technology Promotion Agency) | Certificate Authorizing Member |
| Coree du Sud | KCMVP / KCC | NIS (National Intelligence Service) | Certificate Authorizing Member |
| Royaume-Uni | NCSC CC Scheme | National Cyber Security Centre | Certificate Authorizing Member |
| Suede | CSEC | FMV (Forsvarets Materielverk) | Certificate Authorizing Member |
Le portail Common Criteria maintient la liste a jour des membres et de leur statut.
Cas francais : ANSSI et Visa de Securite
Section intitulée « Cas francais : ANSSI et Visa de Securite »En France, l'ANSSI delivre les certificats CC sous le label Visa de Securite. Le Visa de Securite recouvre deux schemas distincts :
- La Certification Criteres Communs (CC), correspondant au cadre ISO/IEC 15408 decrit dans ce guide.
- La CSPN (Certification de Securite de Premier Niveau), evaluation rapide en boite noire et boite grise, propre au contexte national, dont la duree typique est de deux mois et qui n'entre pas dans le perimetre CCRA. Voir le guide CSPN ANSSI pour le detail des differences.
Le choix entre CC et CSPN depend du niveau d'assurance requis, du budget disponible et de la portee geographique recherchee. La CSPN convient a un besoin national de premiere confiance ; la CC s'impose des que la reconnaissance internationale ou un EAL eleve est exige par le client final ou le marche.
EUCC : la transposition europeenne sous Cybersecurity Act
Section intitulée « EUCC : la transposition europeenne sous Cybersecurity Act »Le reglement (UE) 2019/881 Cybersecurity Act a institue un cadre europeen de certification cybersecurite, dont la premiere realisation operationnelle est le schema EUCC (European Common Criteria-based cybersecurity certification scheme), adopte par le reglement d'execution (UE) 2024/482.
EUCC reprend ISO/IEC 15408 et ISO/IEC 18045 comme base technique. Il introduit trois niveaux d'assurance europeens (basic, substantial, high) maps sur les EAL CC :
- basic : EAL 1 a EAL 2.
- substantial : EAL 3 a EAL 4.
- high : EAL 5 a EAL 7, et explicitement les domaines techniques heritiers du SOG-IS.
L'autorite nationale de certification de cybersecurite (NCCA) emet les certificats au nom de l'Union ; l'ENISA tient le registre central. En France, c'est l'ANSSI qui assume la fonction de NCCA et qui delivre les certificats EUCC.
EUCC absorbe progressivement les certificats nationaux existants et la branche CC du SOG-IS. Les certificats CC nationaux pre-EUCC restent valides jusqu'a leur terme, mais les nouvelles demandes en France et dans les autres etats membres basculent progressivement sous EUCC pour les categories couvertes.
Le futur reglement CRA (UE) 2024/2847 reconnait explicitement les certificats EUCC comme presomption de conformite a tout ou partie des exigences essentielles de son annexe I, sans pour autant rendre obligatoire la certification CC. Voir le guide Cyber Resilience Act pour la mecanique d'articulation.
Pieges classiques d'un projet Common Criteria
Section intitulée « Pieges classiques d'un projet Common Criteria »L'experience des laboratoires et des schemas met en evidence des erreurs recurrentes que tout sponsor doit anticiper.
| Piege | Manifestation | Mitigation |
|---|---|---|
| Sur-perimetre du TOE | Inclusion de fonctions hors securite qui alourdissent ADV et ATE sans renforcer la valeur du certificat | Definir un TOE minimal couvrant strictement la TSF cible |
| Redaction tardive de la ST | Le laboratoire ne peut pas demarrer les activites tant que la ST n'est pas validee, le planning derive | Investir tot dans la ST, ideallement en parallele du design du produit |
| Absence de cPP applicable | Reconnaissance CCRA limitee a EAL 2 + ALC_FLR, ST artisanale a defendre devant le schema | Verifier l'existence d'un cPP en debut de projet, suivre les iTC pour la categorie cible |
| Sous-estimation de ALC | Les exigences ALC (cycle de vie, configuration management, livraison securisee) demandent une documentation industrielle souvent absente | Lancer la mise en conformite ALC des le cadrage, anticiper les audits de site |
| Mauvais choix de laboratoire | Le laboratoire n'est pas accredite pour le domaine technique ou le schema vise | Verifier l'accreditation et les references du laboratoire avant signature |
| Architecture inadaptee a la verification | Une TSF imbriquee dans le reste du produit complique enormement la separation et l'analyse | Concevoir la TSF comme un sous-systeme identifie, avec interfaces explicites |
| Sous-estimation de la duree | Le cycle complet d'une evaluation EAL 4+ mobilise plusieurs trimestres minimum, davantage pour EAL 5+ | Inscrire l'evaluation dans la roadmap produit tres en amont |
Communaute et conferences
Section intitulée « Communaute et conferences »L'International Common Criteria Conference (ICCC) reunit chaque annee schemas, laboratoires, sponsors et utilisateurs finaux. Elle constitue le principal lieu d'echange sur l'evolution de la norme, des cPP et des Technical Communities. Les iTC (international Technical Communities) sont les groupes de travail charges de produire les cPP pour des domaines techniques specifiques (Network Devices, Dedicated Security Components, Hardcopy Devices, Mobile Devices, Smart Cards, etc.). Le portail Common Criteria recense les iTC actives.
Pour un fabricant qui prepare une certification, l'observation des publications des iTC concernees, la lecture des Certification Reports publics sur le portail et la consultation precoce du schema national sont des reflexes utiles. Voir le glossaire spilma pour les definitions normalisees du vocabulaire CC (TOE, TSF, PP, ST, cPP, EAL, SFR, SAR, CEM, ITSEF, CCTL, CCRA, SOG-IS, EUCC, NCCA).
Voir aussi
Section intitulée « Voir aussi »- DO-326A et ED-202A: cybersecurite avionique
- PSA Certified: securite IoT pilotee par Arm
- SESIP: methodologie d'evaluation cybersecurite IoT
- TPM 2.0 et securite materielle TCG
- FIPS 140-3 : validation des modules cryptographiques
- CSPN et ANSSI Visa : cybersecurite francaise
- CMMC et UK Cyber Essentials: baselines cyber de defense
Synthese
Section intitulée « Synthese »Common Criteria, normalises sous ISO/IEC 15408 et accompagnes de la methodologie CEM (ISO/IEC 18045), restent en 2026 la reference internationale pour l'evaluation formelle de la securite IT. Le cadre repose sur un vocabulaire stable (TOE, TSF, ST, PP, cPP), une echelle d'assurance graduee de EAL 1 a EAL 7 avec augmentations, et un double regime de reconnaissance internationale (CCRA jusqu'a EAL 2 + ALC_FLR ou cPP au-dela ; SOG-IS MRA jusqu'a EAL 7 dans les domaines techniques). La montee en puissance d'EUCC sous le Cybersecurity Act europeen consolide progressivement la branche CC du paysage de certification en Europe et offre un pont de presomption de conformite vers le reglement CRA pour les produits qui en relevent.
Sources & références
- Common Criteria Portal, documents officiels CC v3.1 / CC 2022 et listes de produits certifies , Common Criteria Maintenance Board www.commoncriteriaportal.org/
- ISO/IEC 15408 (toutes parties), Information security, cybersecurity and privacy protection, Evaluation criteria for IT security , ISO/IEC www.iso.org/standard/72891.html
- Common Criteria Recognition Arrangement (CCRA), texte et liste des membres , Common Criteria Maintenance Board www.commoncriteriaportal.org/ccra/
- SOG-IS Mutual Recognition Agreement, portail officiel et domaines techniques , Senior Officials Group Information Systems Security www.sogis.eu/
- Reglement (UE) 2019/881 Cybersecurity Act, base juridique de l'EUCC , EUR-Lex eur-lex.europa.eu/eli/reg/2019/881/oj
- Reglement d'execution (UE) 2024/482 etablissant le schema EUCC , EUR-Lex eur-lex.europa.eu/eli/reg_impl/2024/482/oj
- ANSSI, page Common Criteria et Visa de Securite , ANSSI cyber.gouv.fr/produits-certifies